L’information, sa gestion et sa sécurité sont aujourd’hui plus que jamais des enjeux de management à part entière. Comme l’exprime Jérôme Denis , l’informatique et sa sécurité impliquent un paradoxe qui consiste en un développement sans précédent de l’efficacité mais aussi de la fragilité technique des organisations. Les technologies de communication et systèmes d’information sont à la fois l’occasion de démultiplier la circulation d’informations dans une entreprise comme source d’avantage concurrentiel mais elles peuvent aussi la rendre vulnérable à certaines menaces. Les pratiques de management doivent désormais évoluer pour intégrer au niveau de la gouvernance même de l’entreprise la préoccupation d’une sécurisation de l’information de l’entreprise qui constitue un actif (immatériel) à part entière . Ces dernières sont un enjeu de management car elles impliquent des risques et un régime de fragilité permanente pour l’entreprise, pouvant impacter la qualité des biens et services fournis (notamment dans les délais de livraison, dans la fiabilité des informations fournies). Dans un monde interconnecté, l’information et les processus, les systèmes, les réseaux qui s’y rapportent constituent des actifs critiques de l’organisation. Les organisations et leurs systèmes et réseaux d’informations sont confrontés à des menaces pour la sécurité ayant de multiples sources, notamment la fraude assistée par ordinateur, l’espionnage, le sabotage, le vandalisme, les incendies et les inondations. Les dommages causés aux systèmes et aux réseaux d’information par des programmes malveillants, le piratage informatique et les attaques par saturation deviennent plus courants, plus ambitieux et de plus en plus sophistiqués.
Face à cela, la norme ISO/IEC 27001 :2013 « Techniques de sécurité – Systèmes de gestion de la sécurité de l'information » a comme objectif de répondre à cet enjeu de management en envisageant la sécurité de l’information comme un projet transverse. Si l’objectif de la norme est d’aller vers la certification, celle-ci a bien pour enjeu un enrichissement des pratiques et l’établissement d’un management actif de la sécurité des systèmes d’information. Lequel, itératif, se doit d’intégrer les différentes parties prenantes de l’organisation à la fois dans une logique hiérarchique (Top Down-Bottom Up) mais aussi dans un axe transverse, en lien avec les processus de l’organisation.
La norme ISO/IEC 27001 :2013 est, à la base, issue de la série des normes ISO 27000. Cette norme décrit les exigences nécessaires à la mise en œuvre du système de management de la sécurité de l’information (SMSI).
Un projet de mise en place d’une gestion de la sécurité est nécessairement transversal. Le service informatique ou la direction des systèmes d’information a une activité concernant de fait plusieurs autres directions et l’enjeu de sécurisation de l’information intègre nécessairement le lien avec les autres fonctions de la chaîne de valeur (qu’il s’agisse des fonctions supports comme des fonctions opérationnelles).
Le projet de sécurisation des systèmes d’information concerne encore toute l’échelle hiérarchique de l’organisme. La réussite du projet dépend essentiellement de l’implication de toutes les personnes concernées dans l’entreprise, de la direction générale au plus bas de l’échelle dans une approche de type gestion globale.
La structure de la version 2013 n’a pas de notion de PDCA explicite. Cette notion est remplacée par une formulation du type « établir, implémenter, maintenir, améliorer ». Il n’y a pas d'encouragement à l'approche processus dans l'introduction, mais une approche processus de fait. Les clauses de 4 à 10 sont obligatoires. Les parties prenantes sont prise en compte, le périmètre considère tout le contexte, y compris les exigences. Le leadership est plus axé engagement, pilotage et management des personnes que « mise en œuvre ». La politique inclut un engagement de la direction. Une réelle analyse des risques, en intégrant les notions de risques et opportunités projet, l’appréciation des risques est moins cadrée par la norme. Il y a une sensibilisation précise, qui fait l’objet d’un paragraphe entier. En outre il n’y a pas d’indication sur la périodicité de la revue de direction ni de l’audit, de même pas de notion d’action préventive au sens de la version 2005.
Cet article traite de la norme ISO/IEC 27001 ainsi que de la mise en œuvre et la gestion d’un SMSI.
